Blog

News 11/2025

Petr Hanka
Associate

Gilt das neue Gesetz zur Cybersicherheit auch für Ihr Unternehmen?

Das neue Gesetz zur Cybersicherheit trat am 1. November 2025 in Kraft und setzt die Anforderungen der europäischen Richtlinie NIS2 in tschechisches Recht um.

Sein Ziel ist es, die Widerstandsfähigkeit wichtiger Unternehmen und Institutionen gegenüber Cyberangriffen zu erhöhen, die eine ernsthafte Bedrohung sowohl für die Funktionsfähigkeit einzelner Handelsunternehmen (Datenverlustrisiko, Reputationsrisiko) als auch im übertragenen Sinne für die Handlungsfähigkeit des Staates in wichtigen Bereichen darstellen.

Wen betrifft das neue Gesetz?

Das Gesetz gilt künftig für einen breiten Kreis von Unternehmen, wobei dies für viele von ihnen überraschend sein kann. Es gilt für Anbieter sogenannter „regulierter Dienstleistungen“ – also Unternehmen, die in Branchen tätig sind, die für die Handlungsfähigkeit der Gesellschaft oder des Staates von grundlegender Bedeutung sind.

Zu diesen Branchen gehören beispielsweise Energie, Gesundheitswesen, Verkehr, digitale Infrastruktur und Dienstleistungen, Finanzen, öffentliche Verwaltung, gegebenenfalls auch Produktion, Lebensmittelindustrie, Bildung und Forschung. Die konkreten Dienstleistungen sind in der Verordnung über regulierte Dienstleistungen geregelt, die von der Nationalen Behörde für Cyber- und Informationssicherheit (NÚKIB) erlassen wurde.

Grundlegende Pflichten

Die regulierten Unternehmen werden künftig in zwei Kategorien unterteilt: Unternehmen mit geringeren und Unternehmen mit höheren Verpflichtungen (je nach Bedeutung, Größe und Art der Dienstleistung).

Regulierte Unternehmen sind verpflichtet, Sicherheitsmaßnahmen zu implementieren. Dabei handelt es sich um eine Reihe von technischen und organisatorischen Maßnahmen, die in Durchführungsverordnungen festgelegt sind. Regulierte Unternehmen sind darüber hinaus verpflichtet, Cybervorfälle zu melden.

Das Gesetz sieht auch hohe Strafen für Verstöße vor, die bis zu 250 Millionen CZK oder sogar 2 % des weltweiten Umsatzes betragen können (bei der Kategorie mit höheren Verpflichtungen).

Notwendige Schritte

Das Unternehmen muss eine sog. „Selbstidentifizierung“ vornehmen, d. h. prüfen, ob es eine regulierte Dienstleistung erbringt.

Sollte das zutreffen, muss die regulierte Dienstleistung innerhalb von 60 Tagen bei der NÚKIB gemeldet werden. Unternehmen, die regulierte Dienstleistung bereits anbieten, müssen dies bis Ende dieses Jahres tun.

Durch die NÚKIB ergeht anschließend eine Entscheidung über die Registrierung, von deren Zustellung weitere Fristen abhängen, insbesondere die Frist von einem Jahr für die Einführung aller vorgeschriebenen Sicherheitsmaßnahmen.

Wir sind gerne bereit, Ihnen bei der Beurteilung zu helfen, ob das neue Gesetz für Ihr Unternehmen gilt, und Sie bei den weiteren Schritten zu unterstützen.

 

Mit freundlichen Grüßen,

Das Team WTS Alfery, Alfery Hrdina Advokáti